NIST CPRT(サイバーセキュリティ・プライバシーリファレンスツール)
NISTのCSFツールを便利に使っていましたが、他にCPRT(サイバーセキュリティ・プライバシーリファレンスツール)というものが提供されていることに気づきましたので、まとめてみます。
NISTからは、サイバーセキュリティフレームワーク(CSF)を初めとしてSP800シリーズなどが様々提供されています。また、ISOの規格も存在します。それらの関連をみたいときにPDFでは限界があるので、内容をデータベース化して関連付けて参照できるようにするためのツールのようです。説明文には、何百ページにも及ぶ説明文を確認することなく、NIST リソース内およびリソース間でコンテンツを識別、検索、比較、カスタマイズすることが簡単になりますと書かれています。コンテンツは、一般的な形式 (XSLS および JSON) でダウンロードできます。
コンテンツ
参照データセットとして、CSFや、SP800-53、SP800-171などがあり、RevごとにDB化されたコンテンツをWEB上で参照可能になっています(もちろんダウンロードも可能)。文書のこの部分と示すのに、WEBになっていると便利ですよね。また、旧版も利用可能でした。
NIST文書へのマッピング
専門家が自分のドキュメントの要素とCSFやSP800-53などの NISTドキュメントの要素との間でオンライン参考資料(OLIR)を定義できるようにしているそうです。SP800-53とISO27001の間のマッピングが提供されていました。
検索もできるようです。
機能ロードマップ
ロードマップを見ると、フェーズ1、フェーズ2、フェーズ3とわかれており、2024年5月現在は、フェーズ3の「UXの拡張」にあり、新しいツールを開発が行われて公開されているようです。
例として次のようなものが記載されていました。
さまざまなデータセット間の関係性と依存関係をナビゲートして検出します。
NIST と業界セクター固有の参照データセット間のクロスウォーキング。
制御、機能、カテゴリ、実践、スキルなどのデータ要素レベルでコミュニティからの入力とコメントを募集します。
データ要素レベルで更新をリリースします。
データ要素レベルでの変更の履歴記録を提供します。
関係者が NIST 参照データに基づいて独自のプロファイル、オーバーレイ、ベースライン、テンプレートを構築できるようにします。
それらはPDFで提供されていますが ガイダンスを構築したいですか? このツールは、さまざまな NIST サイバーセキュリティおよびプライバシー標準、ガイドライン、フレームワークからの参照データに簡単にアクセスする方法を提供します。
さいごに
サイバーセキュリティ・プライバシーリファレンスツールを触ってみてわかったこととまとめてみました。
この記事が気に入ったらサポートをしてみませんか?